Black Hat -tietoturvatapahtuman löydökset ovat nousseet tällä viikolla kuumiksi puheenaiheiksi, ja matkapuhelinpuolella esiin ovat nousseet uutisoinnit, joiden mukaan Jackeey Wallpaperin tuottamat Android-taustakuvaohjelmat varastaisivat puhelimesta mm. tekstiviestit ja SIM-kortin tiedot, jotka lähetetään sitten Kiinaan.
Löydöksen tehnyt Lookout-tietoturvayritys kertoi asiasta Black Hatissä, mutta valitettavasti monet uutislähteet ymmärsivät tilanteen väärin, jonka takia Jackeey Wallpaperin ohjelmia voisi luulla todellisiksi supervakoojiksi.
Lookoutin virallisen tekstin mukaan Jackeey Wallpaperin ohjelmat todella keräävät ylös puhelimen tietoja ja lähettävät ne Kiinaan, mutta esim. tekstiviesteihin tai SIM-kortin sisältöön ohjelmat eivät koske. Selvityksen mukaan taustakuvaohjelmat lähettävät Kiinaan tiedot puhelimen sen hetkisestä puhelinnumerosta, puhelimen tunnisteesta ja mahdollisesti käytössä olevan vastaajapalvelun numerosta. Jos vastaavapalvelun mahdollinen salasana on suoraan puhelinnumerossa, matkustaa myös se luonnollisesti Kiinaan.
Lookoutin mukaan Jackeey Wallpaperin tuottamia taustakuvaohjelmia on asennettu jopa miljoonia kertoja, joten Kiinassa toimiva taho on saattanut kerätä talteen miljoonia puhelinnumeroita. Yrityksen edustajat eivät tiedä miksi näitä tietoja on kerätty talteen, mutta todennäköisesti kyseessä ei ole vain harmiton harrastus, joten Jackeey Wallpaperin tekemiä ohjelmia ei kannata ladata Android-laitteisiin.
AndroidZoom-sivuston listauksen perusteella Android Marketista löytyy 72 Jackeey Wallpaperin julkaisemaa ohjelmaa, jotka eivät infotietojen mukaan toimi lainkaan Kiinassa maan palomuurikäytännön takia.
Koska Android Marketiin hyväksytään ohjelmia ilman esitarkistusta, voi sinne ujuttaa helpommin haittaohjelmia kuin esim. Applen App Storeen, jossa kaikki sisältö esitarkistetaan. Google on kuitenkin varautunut ongelmiin sisällyttämällä Androidiin etäpoiston, jonka avulla se voi tarvittaessa poistaa puhelimiin asennettuja sovelluksia. Jos Google tekee näin, ilmoitetaan asiasta puhelimen käyttäjälle, joten kadonnen ohjelman mysteeriä ei tarvitse pohtia.
Perjantai 3.9.2010 17:55
ExE_93 @ 29.7.2010 16:27
Taas on Kiinalaiset kaiken takana...
Tazzpa @ 29.7.2010 17:17
Ei varmasti jää viimeiseksi, jos esitarkastusta ei oteta käyttöön. Huonoa mainosta.
_mikkis_ @ 29.7.2010 17:30
tässä taas nähdään, mitä haittoja avoimuudesta on.
Phiideer @ 29.7.2010 19:06
@3
Trolli.
_mikkis_ @ 29.7.2010 20:04
@4 Trolli
mitenkähän... (vahvistamaton) @ 29.7.2010 23:31
Avoimuus softakehityspuolella (lue ilmaiset työkalut ja ohjelmien tarjoaminen eteenpäin ilman mihinkään maksullisiin kehitysjuttuihin liittymistä jne.) on hyvä asia. mutta todellakin tuon tarkastuspuolen osalta pitäisi jotain tehdä. Jos tilannetta verrataan esim linuxiin, otetaan nyt esimerkiksi suosittu ubuntu, mutta pätee muihinkin, niin eipä ubuntussakaan voi tavis tallaaja lähettää ohjelmaansa ubuntun virallisiin ohjelmavarastoihin. Tässä Android marketia voidaankin verrata ohjelmavarastoon, repoon, repositoryyn.. Ainoa ero on siis se, että androidissa tulee näennäisturvallinen tunne siitä, että onhan se järjestelmän omissa "repoissa", mutta kun mitään kontrollia ei ole kuin jälkikäteen...
Saa nähdä kauanko menee kunnes ilmenee ohjelma joka on todella mukava pikkusofta, mutta "pienenä" haittapuolena tulisikin soittelu ulkomaisiin palvelunumeroihin käyttäjän tietämättä. Itse olin jo pyöritellyt mielessäni ajatusta Android luurista, mutta taitaapa asia jäädä kunnes nämä asiat on ratkaistuna. Toki sitä käyttäjä pääpiirtessään pystyy vaikuttamaan kun ei asenna mitä sattuun. Ainut vaan että tässä tosin ei aina sekään mitään takeita anna. Lisäksi itse kartan lähinnä periaatesyystä androidin siihen saakka, kunnes jokin kontrolli tuohon touhuun saadaan. Mielummin otan MeeGon jossa on sentään jotain kontrollia repojen suhteen.. Samoin myös Symbian on muutosta odotelessa tuttu ja turvallinen valinta, kuten toki iOS ja Bada. Toki noista iOS kuuluu sihen ryhmään jota itse en tue muista syistä, mutta se olkoon toinen stoorinsa.
anaaj (vahvistamaton) @ 30.7.2010 09:29
@6 jos pelottaa, että joku ohjelma soittelee ulkomaille, voit operaattorilta pyytää liittymääsi ulkomaillesoitonesto. Ite esto ei maksa mitään, mutta operaattorista riippuen itse kytkennästä voi tulla pieni maksu. sama koskee myös palvelu(lue: aikuisviihde jne)numeroita. Itse olen kyllä samaa mieltä, että kun kyseessä on kuitenkin avoimen lähdekoodin tuotteita, pitäisi ne etukäteen tarkistaa ennenkuin ne hyväksytään julkiseen jakoon. Tai laittaa varmistamattoman vaikka unsecuren alle tms.
Bluejack @ 30.7.2010 10:01
En,tiedä onko se nyt niin mahdottoman vaikeaa katsoa appsin `permission`oikeudet ennen kun kaikkea turhaa kapulaansa menee asenteleen?
Sillattiis (vahvistamaton) @ 30.7.2010 11:26
Miten softan avoimuus liittyy tähän? Windows ei ole avoin, mutta ei minulla ole mitään takeita mitä netistä ottamani apuohjelma tekee taustalla. Sama Linuxissa, mikä taas perustuu avoimeen lähdekoodiin.
Toiseksi onko Jackeey Wallpaperin tuotosten lähdekoodit mahdollista imuroida jostain? Käsittääkseni ei, eli ei siis mitään avointa koodia.
Kyseessä on siis vain ja pelkästään softan jakeluun liittyvä juttu. Toiset markkinapaikat katsoo/tutkii toiset ei. Pitääkö Applelle lähettää sorsat kun laittaa ohjelman jakoon App Storeen?
mitenkähän... (vahvistamaton) @ 30.7.2010 13:17
@7
Eipä tuo varsinaisesti pelota, enkä moisia estoja olisi hankkimassa, joskus harvoin kun pitää sinne ulkomaille soittaakin. Lähinnä tuossa oli kyse periaatteesta osaltani. Tuo "unsecure" repo olisi hyvä, ja varmistetut sitten varsinaiseen markettiin..
@9
Ei se avoimuus liitykään, muutoin kuin niiltä osin, että itse market on turhan avoin, olisi nyt edes ensin jokin "unsecure" mihin ohjelmoijat voisivat tuotoksiaan lähettää lähettää ja käyttäjät omalla riskillään asennella. Lisäksi tuolta poimittaisiin tarkastusten jälkeen ohjelmat varsinaisen marketin puolelle tms. Eli avoin lähdekoodi tässä ei todellakaan mitään aiheuta, vaan avoin market. Vertaa vaikka tuohon esimerkkiin että linuxissa repoihin saisi kuka tahansa lähettää mitä tahansa ilman tarkkailua, näinhän ei asia ole.
@Artikkelin kirjoittaja
Mielenkiintoinen otsikko muuten tässä. Pelkästään otsikon vilkaisemalla itselleni ensimmäinen mielikuva oli, että aiemmin uutisoitu "vakoiluohjelma" ei olekaan mikän vakoiluohjelma, vaan se uutisointi oli virheellistä (eli voitte jatkossakin asentaa). Kuitenkin itse jutussa tiivistetysti sanotaan, että vaikkei kyse olekaan "supervakooja ohjelmasta" niin todetaan kuitenkin..
"Yrityksen edustajat eivät tiedä miksi näitä tietoja on kerätty talteen, mutta todennäköisesti kyseessä ei ole vain harmiton harrastus, joten Jackeey Wallpaperin tekemiä ohjelmia ei kannata ladata Android-laitteisiin."
Eli otsikossa ehkä olisi voinut käyttää muutakin sanaa kuin "virheellisiä". Toki tässä on tietoihin tullut päivitystä ja kuvaus tarkentunut, mutta silti tulisi välttää otsikointia joka silmäyksellä luo mielikuvan että aiemmat uutiset olivatkin huuhaata. Otsikkoon vaikka maininta juurikin että tiedot ohjelmasta tarkentuneita tms. niin kerää klikkejä jos kiinnostaa lukea lisää, eikä käy niin että joku ohittaa tehden pelkästä otsikosta väärän päätelmän tällaisissa asioissa. Tämä nyt vain mainintana, itseäni nyt muutoin haittaa, mutta kunhan totean. :)